【发布时间】:2014-01-26 02:22:33
【问题描述】:
我知道一点关于 php 的 SQL 注入,并且我阅读了一些关于 sqli 的帖子!这些帖子说当黑客想要获取表的列名时,他们会使用
select group_concat(column_name) from information_schema.columns where table_name=0x7573657273
语句中的“0x7573657273”是“users”的十六进制字符串。奇怪的是,当我在mysql控制台执行这条语句时,它会准确返回表用户的列。 这是否意味着mysql会自动将十六进制转换为字符串,例如将“0x7573657273”转换为“uses”或将“0x3D”转换为“=”? 是不是说mysql可以理解十六进制的意思?
【问题讨论】: